Ringkasan Materi Kuliah Sistem Informasi Akuntansi

(Sap 5: Keamanan Sistem Informasi)

OLEH : KELOMPOK 5

ANGGOTA :
I GEDE DHYANA PUTRA 1406305057
PUTU ARI RADITYA 1406305088
KADEK KATON PRANATA

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS UDAYANA
2016
1. KEAMANAN SISTEM INFORMASI: SEBUAH TINJAUAN
Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database,
prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan
pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan
digunakan untuk menghasilkan laporan.
1.1. Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu,
pengembangan sistem keamanan juga perlu mengacu pada pendekatan siklus hidup sistem.
Sistem keamanan computer dikembangkan dengan menerapkan metode analisis, desain,
implementasi, serta operasi evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini
adalah sebagai berikut:

Fase Siklus Hidup Tujuan

Analisis Sistem Analisis kerentanan sistem dalam arti ancaman yang relevan dan
eksposur kerugian yang terkait dengan ancaman tersebut.
Desain Sistem Desain ukuran keamanan dan rencana kontingensi untuk
mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi Sistem Menerapkan ukuran keamanan seperti yang telah didesain.
Operasi, evaluasi, dan Mengoperasikan sistem dan menaksir efektivitas dan efisiensi.
pengendalian sistem Membuat perubahan sebagaimana diperlukan sesuai dengan
kondisi yang ada.
Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi.
Manajemen risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko
sistem komputer.
1.2. Sistem Keamanan Informasi dalam Organisasi
Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer
(CSO). Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan
persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
Fase Siklus Hidup Tujuan
Analisis Sistem Sebuah ringkasan terkait dengan semua eksposur kerugian yang
relevan.
Desain Sistem Rencana detail mengenai pengendalian dan pengelolaan kerugian,
termasuk anggaran sistem keamanan secara lengkap.
Implementasi Sistem, Mengungkapkan secara spesifik kinerja sistem keamanan,
operasi, evaluasi, dan termasuk kerugian dan pelanggaran keamanan yang terjadi,
pengendalian sistem analisis kepatuhan, serta biaya operasi sistem keamanan.

1.3. Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem, yaitu :
1.3.1. Pendekatan Kuantitatif.
Pendekatan ini dipergunakan untuk menaksir risiko, menghitung setiap eksposur
kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan
terjadinya eksposur tersebut. Manfaat terbesar dari analisis ini adalah dapat menunjukkan
ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar.
Kelemahan pendekatan kuantitatif:
a. Sulitnya mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir
probabilitas terjadinya eksposur tersebut.
b. Sulit mengestimasikan kemungkinan terjadinya suatu kerugian di masa datang secara
tepat, terlebih dalam lingkungan teknologi yang mengalami perubahan sangat cepat
1.3.2. Pendekatan Kualitatif
Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap
sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kualitatif maupun
pendekatan kuantitatif sering digunakan di dalam praktik. Banyak perusahaan
mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis eksposur
kerugian tersebut harus mencakup area berikut ini:
a. Interupsi bisnis
b. Kerugian perangkat lunak
c. Kerugian data
d. Kerugian perangkat keras
e. Kerugian fasilitas
f. Kerugian jasa dan personel

2. KERENTANAN DAN ANCAMAN

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan
suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman:aktif
dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer.
Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir,
kebakaran dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan
sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebaginya.

2.1. Tingkat Keseriusan Kecurangan Sistem Informasi

Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar
dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini mengejutkan karena kita
jarang membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian
besar kasus kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat
publik mengetahui kelemahan pengendalian internal perusahaan. Manajer enggan berhadapan
dengan sisi negatif publisitas yang bisa menimbulkan penghakiman masyarakat.
2.2. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi
 Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file,
data yang sensitif, atau program yang kritis. Tiga kelompok individu yang dapat mengancam
sistem informasi, yaitu personel sistem komputer, pengguna, dan penyusup
2.2.1. Personel Sistem Komputer
a. Personel Pemeliharaan Sistem, Personel pemeliharaan sistem biasanya memiliki
kemampuan untuk berselancar dalam sistem dan mengubah file data dan file program
dengan cara yang tidak legal. Beberapa personel pemeliharaan bisa saja berada dalam
posisi yang memungkinkan ia melakukan modifikasi yang tidak diharapkan terhadap
keamanan dalam sistem operasi
b. Programmer, Programmer sistem sering menulis program dan memodifikasi dan
memperluas sistem operasi jaringan. Programmer aplikasi bisa saja membuat modifikasi
yang tidak diharapkan terhadap program yang ada saat ini atau menulis program baru
guna menjalankan hal-hal yang tidak semestinya.
c. Operator Jaringan, Operator diberi tingkat keamanan yang cukup tinggi sehingga
memungkinkan operator secara diam-diam mengawasi semua jaringan komunikasi dan
juga mengakses semua file di dalam sistem.
d. Personel Administrasi Sistem Informasi. Personel administrasi sistem informasi memiliki
akses ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account
memiliki kemampuan untuk menciptakan account fiktif atau untuk memberi password
pada account yang sudah ada.
e. Karyawan Pengendali Data. Mereka yang bertanggung jawab terhadap penginputan data
ke dalam komputer. Posisi ini memberi peluang bagi karyawan untuk melakukan
manipulasi data input.
2.2.2. Pengguna
Pengguna terdiri dari sekelompok yang heterogen dan dapat dibedakan dengan yang lain
karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Pengguna
terkadang memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing
perusahaan.

2.2.3. Penyusup
Penyusup merupakan setiap orang yang memiliki akses ke peralatan, data elektronik atau
file tanpa hak yang legal. Ada beberap tipe dari penyusup, diantaranya :
a. Unnoticed Intruder
Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan melihat
data yang sensitif di dalam computer personal yang sedang tidak ada orangnya.
b. Wiretapper (penyadapan)
Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi yang
lain mungkin saja ditransmisikan antarnegara melalui internet. Jaringan internet inilah
yang rentan terhadap kemungkinan wiretapping.
c. Piggybacker
Salah satu metode yang dipakai adalah piggybacking. Dengan metode ini, penyadap
menyadap informasi legal dan menggantinya dengan informasi yang salah.
 d. Impersonating Intruder
Impersonating intruder adalah individu-individu tertentu yang bertujuan melakukan
kecurangan terhadap perusahaan. ada yang menggunakan user ID dan password yang
didapat dengan cara tidak legal, ada yang menebak password seseorang, dan ada yang
menyusup langsung ke dalam perusahaan.
e. Eavesdropper
Penyusup ini menyadap dengan cara memanfaatkan interferensi elektomagnetik pada satu
frekuensi yang dapat ditangkap dengan seperangkat televisi sederhana. Setiap orang
dengan peralatan ini dapat memonitor informasi yang sensitif selama informasi tersebut
tampil di CRT (cathode-ray tubes) perusahaan.
f. Hacker
Penyusup yang menyerang sistem informasi sebagai sebuah kesenangan dan tantangan.

2.3. Ancaman Aktif pada Sistem Informasi

Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi antara lain:
2.3.1. Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan
kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki
pengetahuan mengenai cara operasi sistem komputer.
2.3.2. Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena
dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.
Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat digunakan
untuk mendeteksi adanya perubahan dalam program.
2.3.3. Mengubah file secara langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong
(bypass) proses normal untuk menginputkan data ke dalam program komputer. Jika hal itu
terjadi, hasil yang dituai adalah bencana.
2.3.4. Pencurian data
Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini rentan
terhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinan
untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalam kantong
atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak sampah.
2.3.5. Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan
membingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan kemudian
mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap harddisk atau
media lain.
2.3.6. Penyalahgunaan atau pencurian sumber daya informasi
 Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.

3. SISTEM KEAMANAN SISTEM INFORMASI

Mengendalikan ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran
keamanan dan perencanaan kontingensi. Ukuran keamanan berfokus pada pencegahan dan
mendeteksi ancaman; rencana kontingensi berfokus memperbaiki akibat ancaman. Tidak ada
sistem keamanan yang berarti tanpa didukung oleh kejujuran dan kesadaran.. Sistem keamanan
komputer merupakan bagian dari struktur pengendalian internal keseluruhan perusahaan. Ini
berarti bahwa elemen dasar dari pengendalian internal (antara lain: pengawasan yang memadai,
rotasi pekerjaan, pemeriksaan validitas) adalah penting untuk sistem keamanan komputer.
Keamanan sistem informasi merupakan aplikasi khusus dari prinsip pengendalian internal yang
telah dibuat untuk masalah tertentu dalam sistem informasi.
3.1. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor, yaitu:
a. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang
tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Semua
karyawan harus menerima pendidikan mengenai keamanan. Tujuannya adalah agar setiap
karyawan memiliki kepedulian terhadap keamanan. Peraturan keamanan harus selalu
dimonitor. Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Komunikasi
yang baik dapat mengurangi masalah rendahnya moral.
b. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya
diorganisasi di bawah chief information officer (CIO). Divisi semacam ini tidak hanya
menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi.
Satu hal yang penting adalah harus dibuat satu garis wewenang yang jelas untuk menentukan
siapa yang bertanggungjawab mengambil keputusan terkait dengan perangkat lunak
akuntansi dan prosedur akuntansi.
c. Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau
menyetujui pemilihan auditor internal. Idealnya, auditor internal memiliki pengalaman yang
baik terkait dengan keamanan komputer dan bertindak sebagai chief computer security
officer.

d. Metode Pembagian Otoritas dan Tanggung Jawab

Tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan
struktur organisasi, manual kebijakan, deskripsi kerja, dan lain sebagainya.
e. Aktivitas Pengendalian Manajemen
 Penting untuk membangun pengendalian terkait dengan penggunaan dan
pertanggungjawaban semua sumber daya sistem komputer dan informasi. Harus ada
anggaran yang dibuat terkait dengan akuisisi peralatan dan perangkat lunak, terkait dengan
biaya operasi, dan terkait dengan penggunaan. Pengendalian anggaran penting dalam
lingkungan komputer karena ada kecenderungan di banyak perusahaan untuk mengeluarkan
biaya terlalu banyak dalam teknologi informasi.
f. Fungsi Audit Internal
Chief security officer harus membangun kebijakan keamanan yang relevan dengan sistem
yang ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua modifikasi
sistem, baik perangkat keras, perangkat lunak, atau personalia, harus diimplementasikan
sesuai dengan kebijakan keamanan yang telah dibuat.
g. Kebijakan dan Praktik Personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan
pengecekan ganda semua merupakan praktik personalia yang penting. Peraturan yang
terpenting barangkali adalah memisahkan pekerjaan pengguna computer dan personalia
sistem computer.
h. Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi local, federal, dan
negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data,
termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah. Hukum dan regulasi juga mengatur pengiriman informasi ke
negara lain. Kegagalan untuk memberikan keamanan yang memadai di salah satu area ini
dapat menjadi suatu tuntutan kriminal.

3.2. Pengendalian untuk Ancaman Aktif

Cara utama mencegah ancaman aktif yang berkaitan dengan penipuan dan sabotase adalah
dengan mengimplementasikan urutan lapisan dari pengendalian akses. Filosofi dibalik
pendekatan berlapis pada kontrol akses melibatkan sejumlah lapisan kontrol yang memisahkan
calon pelaku dari target potensialnya. Tiga lapisan ini yaitu: pengendalian akses tempat,
pengendalian akses sistem, dan pengendalian akses arsip.
Langkah pertama dalam membangun pengendalian akses adalah menggolongkan semua data
dan peralatan sesuai dengan kepentingan dan kerapuhan mereka. Peralatan dan data yang kritis
harus diberikan pengendalian yang paling ketat.
3.2.1. Pengendalian akses tempat/lokasi
Pengendalian akses lokasi adalah secara fisik memisahkan orang yang tidak sah dari
sumber komputer. Pemisahan fisik, secara khusus diterapkan untuk menjaga perangkat keras,
area entri(input) data, area keluaran(output) data, perpustakaan data, dan penghubungan
(jaringan) komunikasi.
Semua pengguna diwajibkan menggunakan tanda identifikasi keamanan. Semua ruang
yang berisi peralatan komputer atau data yang sensitif harus memiliki pintu yang terkunci
bahkan dengan program sehingga pintu dapat menolak kunci yang tidak memiliki hak akses.
 3.2.2. Pengendalian akses sistem.
Kontrol akses sistem adalah pengendalian berorientasi perangkat lunak yang dirancang
untuk menjaga agar pemakai yang tidak sah/ pengguna yang ilegal tidak menggunakan sistem.
Tujuan pengendalian akses sistem adalah untuk mengotentikasi pemakai dengan menggunakan
cara seperti ID pemakai, kata kunci, alamat IP, dan alat perangkat keras.
3.2.3. Pengendalian akses file.
Lapisan terakhir dari pengendalian akses diterapkan pada tingkat arsip. Pengendalian
akses arsip mencegah akses tidak sah pada data. Pengendalian akses arsip yang paling
fundamental adalah otorisasi dan prosedur untuk mengakses dan mengubah arsip. Semua
program penting harus disimpan dalam arsip terkunci, artinya program dapat dijalankan, namun
tidak dapat dilihat atau diubah.

3.3. Pengendalian untuk Ancaman Pasif

Ancaman pasif meliputi kegagalan daya, dan perangkat keras. Pengendalian untuk ancaman
pasif dapat preventif atau korektif. Pengendalian untuk ancaman pasif dapat dilakukan dengan
sistem toleran kesalahan dan memperbaiki kesalahan pendukung arsip.
3.3.1. Sistem toleransi kesalahan.
Sistem toleransi kesalahan adalah bila satu bagian dari sistem itu gagal, bagian lainnya
segera mengambil alih, dan sistem terus beroperasi tanpa interupsi. Toleransi kesalahan dapat
diterapkan pada lima tingkatan, yaitu: komunikasi jaringan, prosesor CPU, DASD, power suply,
dan transaksi individual. Jaringan dapat dijadikan toleran kesalahan dengan memberikan jalur
komunikasi duplikat dan prosesor komunikasi. Dua pendekatan utama untuk prosesor central
prosessing unit (CPU) yaitu: sistem protokol berbasis konsensus dan sistem prosesor anjing
penjaga (watchdog). Sistem protokol berbasis konsensus berisi jumlah ganjil prosesor, bila satu
prosesor tidak sesuai dengan lainnya, maka setelah itu akan diabaikan, sedangkan sistem
prosesor watchdog, mengambil alih pemrosesan bila sesuatu terjadi pada prosesor pertama.
DASD dibuat toleran kesalahan dengan beberapa metode, termasuk pemeriksaan baca setelah
tulis, penguncian sektor buruk, dan pembuatan cermin disk.Pemeriksaan baca setelah tulis, disk
drive membaca kembali sebuah sektor setelah menuliskannya ke disk, mengkonfirmasikan
bahwa ia dituliskan tanpa kesalahan. Bila konfirmasi gagal, sektor pada disk diberi tanda
(flagged) dan dikunci, sehingga ia tidak dapat digunakan lagi, kemudian data dapat dituliskan ke
sektor yang baik.
Toleransi kesalahan untuk kegagalan daya dapat dicapai dengan power supply yang baik.
Apabila dayanya gagal, sistem pendukung yang berdaya aki mengambil alih dengan cepat,
sehingga tidak terjadi kerugian kontinuitas dalam aktivitas pemrosesan. Dalam hal ini ada waktu
cukup untuk memindahkan sistem ke generator atau mematikannya dengan cara yang benar.
Akhirnya, beberapa alat menghaluskan turun naiknya tegangan, yang dapat menyebabkan
kerusakan parah pada beberapa komponen elektronik. Toleransi kesalahan pada tingkatan
transaksi melibatkan pemrosesan rollback dan pembuatan bayangan database.
Pemrosesan rollback, transaksi tidak pernah ditulis ke disk, hingga selesai. Apabila daya gagal
atau kesalahan lain terjadi, sementara sebuah transaksi ditulis, maka program database secara
otomatis menggulung dirinya ke belakang pada keadaan sebelum terjadi kesalahan. Pembuatan
bayangan database adalah serupa dengan pembuatan bayangan disk. Sebuah duplikat dari semua
transaksi dibuat dan barangkali dikirimkan melalui komunikasi ke lokasi yang jauh.
3.3.2. Memperbaiki kesalahan pendukung arsip:(Backup File).
Sebuah sistem yang memusatkan pembuatan arsip pendukung adalah sesuatu yang
penting. Tiga jenis pendukung, yaitu: pendukung penuh, pendukung kenaikan, dan pendukung
diferensial. Pendukung penuh membuat pendukung semua arsip pada disk tertentu. Setiap arsip
berisi bit arsip yang diatur hingga 0 selama proses pembuatan pendukung. Sistem operasional
secara otomatis mengatur bit hingga 1 kapan saja sebuah arsip diubah. Setiap bit arsip diatur
kembali hingga 0 selama proses pembuatan pendukung. Jadi, pendukung kenaikan hanya
membuat pendukung arsip yang telah dimodifikasi sejak pembuatan pendukung penuh atau
kenaikan yang terakhir. Akhirnya, pembuatan pendukung diferensial adalah sama seperti
pembuatan pendukung kenaikan, hanya saja bit arsipnya tidak diatur ulang hingga 0 selama
pembuatan pendukung.
3.4. Keamanan Internet
Internet menciptakan jendela elektronik bagi dunia luar yang menghilangkan semua isolasi
fisik sumberdaya informasi perusahaan. Oleh karena itu, semua lapisan pemisahan fisik terkait
dengan pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenhnya dapat
mengamankan sistem informasi perusahaan. Contoh, perusahaan dapat meletakkan sebuah
komputer dibalik pintu terkunci, namun komputer tidak benar-benar terisolasi bila terhubung
dengan internet.
Menurut George H. Bodnar dan William S. Hopwood (2001), kerentanan terkait dengan
terhubung internet dapat muncul akibat kelemahan-kelemahan dalam lima bidang berikut:
1. Sistem operasional atau konfigurasinya
2. Server web atau konfigurasinya.
3. Jaringan pribadi dan konfigurasinya.
4. Beragam program server.
5. Prosedur keamanan umum.

3.4.1. Kerapuhan sistem operasional.

Web Server adalah perpanjangan dari sistem operasional. Hasilnya, kelemahan dalam
keamanan sistem operasional akan membuat kelemahan yang terkait pada keamanan server Web.
Alasan ini, mendukung administrator keamanan untuk mengamankan sistem operasional.
Masalahnya, tidak ada sistem operasional yang anti serangan, dan hacker terus menerus
menemukan kelemahan baru dalam sistem operasional, sehingga administrator harus terus
menerus mengawasi buletin keamanan yang dibuat oleh pemasok sistem operasional. Contoh,
Microsoft tetap mengikuti informasi keamanan untuk Windows pada situs Web-nya di
http://www.microsoft.com/.
3.4.2. Kerentanan Web server.
Web Server dan browser Web cenderung lebih sering diperbarui daripada sistem
operasional, dan pembaharuannya selalu datang dengan kemungkinan keamanan baru yang
lemah. Server Web lebih berfungsi pada garis depan keamanan, karena server Web adalah portal
yang sering dilewati orang luar. Keamanan server Web dapat menurun, karena masalah
konfigurasi. Salah satu masalah konfigurasi yang paling umum terdapat pada
mengkonfigurasikan ijin untuk direktori dan arsip yang berkaitan dengan program skript yang
bisa dilaksanakan. Program script(kode program) yang dapat dilaksanakan adalah komponen
yang diperlukan untuk hampir semua situs Web komersial.
3.4.3. Kerentanan jaringan pribadi(Privat).
Risiko khusus terjadi saat sebuah server Web diletakkan pada sebuah komputer utama
yang dihubungkan dengan berbagai komputer pemakai melalui jaringan area lokal, dan hacker
dapat menyerang satu komputer melalui yang lain. Apabila komputer pemakai memiliki akses
kepada komputer yang menjadi tuan rumah server Web, maka hacker pertama-tama dapat
menerobis masuk ke dalam salah satu komputer pemakai, kemudian bergantung kepada akses
pemakai untuk menduduki komputer utama untuk server Web. Masalah ini begitu sulit, karena
secara virtual tidak mungkin administrator server menjamin keamanan yang memadai atas semua
mesin pemakainya, karena banyak perusahaan (pemakai) mengakses internet, menjalankan
semua jenis program, dan tidak aman, serta mengkonfigurasi sistem operasional dengan tidak
benar. Hacker menyerang satu komputer melalui komputer pengganti dengan mengirimkan surat
elektronik (e-mail) dalam bentuk lampiran (attachment)berupa program kuda Troya ke komputer
pengganti. Hacker mengakali penerima pada komputer pengganti umtuk membuka lampiran e-
mail dengan menggunakan alamat pemngembalian dari seseorang yang telah dikenal. Hacker
dalam hal ini, umumnya memperoleh daftar e-mail dari direktori perusahaan yang tersedia di
situs Web perusahaan.
3.4.4. Kerentanan dari beragam program server.
Banyak komputer utama server Web yang bukan saja menjalankan server Web, namun
juga server lainnya, termasuk server FTP (untuk pengiriman arsip ke dan dari komputer lain),
server e-mail, dan server kontrol jarak jauh (yang mengijinkan komputer jarak jauh yang sah
untuk mengambil kendali komputer utama). Masalahnya, setiap server tambahan memberikan
risiko keamanan tambahan, dan cacat keamanan yang berhubungan dengan salah satu server
yang dapat membuka pintu untuk hacker agar dapat menyerang server lainnya di semua arsip
pada komputer, bahkan komputer lain yang berada pada jaringan area lokal yang sama.
3.4.5. Prosedur keamanan umum.
Perangkat lunak keamanan terbaik di dunia tidak akan membantu, jika administrator
sistem tidak menegakkan kebijakan keamanan. Selanjutnya, semua kesalahan dan pengecualian
harus dicatatkan ke arsip aman(di-log ke dalam file yang aman), dan catatan(log) ini harus
dimonitor secara konstan.
Mengamankan file-log merupakan isu yang penting karena hacker sering berusaha
menutupi jejak lacak mereka dengan mengubah file log. Salah satucara yang dapat digunakan
untuk mengamankan file log adalah dengan menuliskan log ke komputer di lokasi yang berbeda
.
4. PENGELOLAAN RISIKO BENCANA
 Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan
asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan
yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
4.1. Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam 30%
Tindakan kejahatan yang terencana 45%
Kesalahan manusia 25%
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat
dikurangi atau dihindari dengan kebijakan keamanan yang baik. banyak bencana yang berasal
dari sabotase dan kesalahan dapat dicegah dengankebijakan dan perencanaan keamanan yang
baik. resiko bencana alam harus menjadi pertimbangan pada saat membangun lokasi gedung.
Konsentrasi peralatan computer dan data harus ditempatkan di bagian gedung yang paling rendah
eksposurnya terhadap badai, gempa bumi, banjir, kebakaran dan tindakan sabotase.
4.2.Perencanaan Kontingensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal
tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui
oleh kedua pihak tersebut. Desain perencanaan pemulihan mencakup tiga komponen utama,
yaitu:
a. Menaksir kebutuhan penting perusahaan
Sumber daya yang penting mencakup perangkat keras, perangkat lunak, peralatan
listrik, peralatan pemeliharaan, ruang gedung, catatan yang vital dan sumber daya
manusia.
b. Daftar prioritas pemulihan dari bencana
Daftar prioritas mengindikasikan aktivitas dan jasa yang memang genting yang
peril segera dibangunkembali dalam hitungan menit, hitungan jam atau dalam hitungan
hari, minggu atau bulan setelah terjadinya bencana.
c. Strategi dan prosedur pemulihan
Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa
sehingga, pada saat bencana terjadi, perusahaan segera tahu apa yang harus dilakukan,
siapa yang harus melakukan, bagaimana melakukannya dan berapa lama hal-hal tersenut
arus dilakukan.
Selain komponen-komponen utama tersebut, berikut beberapa komponen penting
lainnya dalam perencanaan pemulihan bencana, anatara lain:

o Pusat respons darurat

 Pusat respons darurat yang dipimpin oleh direktur operasi darurat memegang
semua wewenang pengolahan data dan operasi komputer pada saat terjadinya bencana.
Individu-individu ini memimpin jalannnya perencanaan pemulihat dari pusat operasi
darurat.
o Prosedur eskalasi
Proses Eskalasi menyatakan kondisi seperti apa yang mengaharuskan perlunya
pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang
yang harus diberi tahu tentang adanya bencana.
o Menentukan pemrosesan komputer alternative
Bagian terpenting dari rencana pemulihan bencana adalah menentukan spesifikasi
lokasi cadangan yang akan digunakan jika lokasi computer primer rusak atau tidak
dapat berfungsi. Ada tiga macam lokasi cadangan:cold site, hit site, dan flying-start
site. Cold site merupakan alternatif lokasi komputasi yang memiliki instalasi kabel
komputer tetapi tidak dilengkapi dengan peralatan komputasi. Hot site lokasi alternatif
yang dilengkapi dengan instalasi kabel dan peralatan komputasi. Flying-start site
merupakan alternatif yang dilengkapi dengan instalasi kabel, peralatan dan juga backup
dan perangkat lunak yang up-to-date.

o Biro jasa
Mengkhususkan diri untuk menyediakan jasa pengolahan data bagi perusahaan
yang memilih untuk tidak memproses sendiri data yang mereka miliki.
o Rencana relokasi karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya
memindahkan karyawan ke lokasi cadangan. Hal ini memerlukan perencanaan yang
hati-hati karena banyak karyawan sulit dipindahkan dalam sementara waktu.
o Rencana penggantian karyawan
Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya bencana juga
perlu dipertimbangkan. Penggantian seorang karyawan dengan kemapuan yang tinggi
merupakan suatu hal yang tidak mudah diperlukan pelatihan yang sangat ekstensif.
o Perencanaan penyelamatan
Diperlukan perencanaan penyelamatan yang tepat dan cermat saat terjadinya bencana
sehingga perusahaan masih dapat menyelamatkan peralatan dan catatan yang berharga
dari kerugian lebih lanjut.
o Perencanaan pengujian sistem dan pemeliharaan sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Oleh
karena itu, setiap perencanaan pemulihan dari bencana mesti diuji setiap enam bulan
sekali. Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat
dijalankan pada saat bencana benar-benar terjadi.
 KESIMPULAN
Sistem keamanan sistem informasi merupakan subsistem organisasi yang berperan
mengendalikan risiko khusus terkait dengan sistem informasi terkomputerasi. Sistem keamanan
dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti analisisi sistem,
desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian sistem.

Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam
perencanaan keamanaan komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, setiap
eksposurkerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan
probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko mendatar
dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan tujuan untuk
menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.

Kerentanan adalah suatu kelemahan dalam sistem komputer, dan ancaman adalah potensi
eksploitasi suatu kerentanan. Berbagai hukum, regulasi dan publikasi mengarah kepada masalah
kejahatan computer. Keberhasilan serangan terhadap suatu sistem mensyratkan akses ke
perangkat keras, file data yang sensitive atau program-program yang penting. Setiap orang yang
punya akses ke peralatan data computer atau file tanpa otoritas legal, adalah penyusup.
Adaberbagai jenis penyusup, seperti unnoticed intruder, impersonating intruder,
wiretapper,piggybacker, dan eavesdropper. Paling tidak ada enam cara untuk melakukan
kejahatan komputer, yaitu manipulasi, input, pengubahan program, pengubahan file secara
langsung, pencurian data, sabotase dan penyalahgunaan atau pencurian sumber daya komputer.

Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kotingensi,.

Pencegahan bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana
pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan.
Rencana tersebut disetujui oleh komite dewan direksi sebagai bagian dari perencanaan keamanan
komputer secara umum.
 DAFTAR PUSTAKA

Bodnar, George H dan William S. Hopwood. 2006, Sistem Informasi Akuntansi . Buku I, Edisi
Ke-6, Penerjemah Amir Abadi Jusuf dan Rudi M.Tambunana, Salemba Empat,
Jakarta.2000.

Widjajanto, Nugraha, Sistem Infomasi Akuntansi, Penerbit Erlangga, Jakarta, 2001.